A-t-on encore besoin de mots de passe ?

Aujourd’hui, 77 % des brèches de sécurité impliquent des identifiants compromis. Les attaques par hameçonnage se multiplient et sont de plus en plus réalistes pour tromper les victimes, portées par une intelligence artificielle capable d’imiter une voix, de reproduire un style d’écriture ou de créer de fausses interactions plus crédibles que jamais. Quand tout s’accélère et que la sécurité devient non négociable, le mot de passe est-il devenu un anachronisme ? 

En parallèle à la menace grandissante des attaques, chaque oubli ou réinitialisation de mot de passe alourdit le quotidien des employés et gruge les ressources TI. Résultat : une méthode censée protéger l’accès se révèle être une source d’irritation et de vulnérabilité.

C’est dans ce contexte qu’émerge une nouvelle approche : l’authentification sans mot de passe. Cette méthode promet de transformer notre rapport à la sécurité numérique et de replacer l’humain au cœur de l’expérience.

Du mot de passe à la confiance numérique

C’est pour répondre à ces défis que l’authentification sans mot de passe gagne du terrain. Le principe repose sur une idée simple : remplacer ce qu’on sait par ce qu’on a ou ce qu’on est. En d’autres mots, la connaissance d’un mot de passe cède sa place à la possession (d’un appareil ou d’une clé de sécurité) ou à l’inhérence (une empreinte digitale ou la reconnaissance faciale).

Les standards FIDO2 et WebAuthn, soutenus par les géants du numérique, rendent cette approche à la fois sécuritaire et universelle. Avec les Passkeys, les utilisateurs se connectent à l’aide de leur appareil, sans jamais transmettre d’information sensible. Le serveur envoie un défi cryptographique, l’appareil le signe localement à l’aide de la passkey (la vérification biométrique permet d’approuver l’usage de la passkey), enfin le serveur déchiffre le challenge via la clé publique associée à la passkey. Aucune donnée secrète ne circule ni ne s’entrepose sur les serveurs, ce qui rend ce système pratiquement imperméable au vol d’identifiants et résistante à l’hameçonnage.

Ce modèle s’étend déjà dans l’industrie et les défis de la prolifération des agents d’intelligence artificielle nous amène à promouvoir ce modèle pour éviter le stockage d’identifiants dans le code. Et les bénéfices sont tangibles. Pour les entreprises, c’est moins de risques, moins de soutien technique et plus de conformité. Pour les utilisateurs, c’est une expérience rapide, intuitive et sécurisée.

Pour un futur plus humain

Adopter le sans mot de passe, c’est avant tout un choix de conception. Il faut l’intégrer dès la création des produits, plutôt que d’attendre une validation de sécurité. Les outils sont déjà là : API WebAuthn sur le web, gestionnaires d’identifiants intégrés aux appareils mobiles, serveurs FIDO2 connectés à OAuth ou OpenID Connect. Cette intégration favorise une gestion unifiée des identités, tant pour les employés que pour les clients.

Mais l’enjeu dépasse la technologie. L’émergence de l’IA agentique impose une nouvelle vigilance. Ces systèmes peuvent manipuler des identifiants ou des jetons d’accès, ravivant les vieux réflexes du partage de mot de passe. Pour y remédier, l’authentification déléguée et sans mot de passe devient essentielle. Elle permet à chaque entité de prouver son identité sans jamais la transmettre.

Le sans mot de passe ne réglera pas tout, mais il marque une étape incontournable. Il ouvre la voie à une confiance numérique plus forte, où l’humain retrouve sa place au centre. Une sécurité qui protège, sans freiner. Une expérience fluide, sans compromis. Bref, une évolution nécessaire pour bâtir des environnements à la fois plus sûrs, plus efficaces et plus humains.